Как хранить токены доступа OAuth2 в приложении React?

Question

Я новичок в React и хочу безопасно хранить токен доступа OAuth2 для вызова API. Я нашел следующие варианты,

1. Храните его в локальном хранилище / хранилище сеансов (это может быть уязвимо для атак XSS)
2. Наличие серверной части для приложения React, сохранение маркера доступа в серверной сессии и сохранение файла cookie сеанса для идентификации сеанса браузера. Затем выполните все вызовы API через серверную часть, чтобы добавить заголовок Bearer.
3. Зашифруйте токен доступа и сохраните его в виде файла cookie. Доступ к API будет обеспечен через серверную часть, где зашифрованный cookie будет расшифрован и добавлен в качестве заголовка Bearer.

Что будет лучшим решением для этого?

Answer 1

Ваш второй вариант лучше.Мы тоже этим занимаемся. Наличие серверной части для приложения React, сохранение маркера доступа в фоновом сеансе и сохранение файла cookie сеанса для идентификации сеанса браузера.Затем выполните все вызовы API через серверную часть, чтобы добавить заголовок Bearer.

Answer 2

Я бы выбрал третий вариант

Encrypt the access token and store it as a cookie. API access will be haven through the back-end where encrypted cookie will be decrypted and added as a Bearer header.

Все, что связано с токеном, который мы должны хранить на стороне клиента, не существует никакого пути, но можно сделать его безопасным, добавив шифрование, чтобы сделать его более безопаснымно такой подход заставит разработчика настроить алгоритм шифрования и дешифрования для обработки токена